Güvenlik tarihsel olarak bir maliyet merkezi olarak görülmüş ve bu da ona mümkün olduğunca az para verilmesine yol açmıştır. Birçok CISO, STK ve CRO, kuruluşa zarar veren veri ihlalleri ve potansiyel olarak işletmeyi kapatan fidye yazılımları gibi, öncelikle felaketten kaçınma açısından konuşarak bu imajı besledi.
Peki ya güvenlik kendisini geliri artırmanın ve pazar payını artırmanın bir yolu olarak sunarsa? Bu, mali tartışmaları kolayca çok daha rahat bir şeye dönüştürebilir.
Örneğin, Apple yatırımlarını güvenli bölge kullanıcılara daha iyi gizlilik sunduğunu iddia etmek. Şirket özellikle, yerleşim bölgesi tam da bu kadar güvenli olduğu için bilgileri federal yetkililere açıklayamayacağını savundu. Apple bunu, Android’in yaratıcısı olan ve gelirinin çoğunu kullanıcıların verilerinden para kazanarak elde eden rakip Google’a karşı güçlü bir rekabet argümanına dönüştürdü.
Başka bir senaryoda, banka düzenlemeleri, finans kurumlarının dolandırıcıların kurbanı olan müşterilere tazmin etmesini zorunlu kılar, ancak elektronik dolandırıcılık için bir istisna oluşturur. Diyelim ki bir banka, tüm dolandırıcılığı kapsamanın – zorunlu olmasa da – müşterilerini rakiplerinden daha iyi destekleyerek pazar payını artıracak güçlü bir farklılaştırıcı olabileceğini fark ettiğini varsayalım. Banka bunu nasıl karşılayabilir? Güvenlik yatırımlarını, öngörülen dolandırıcılık kayıplarının gelirde öngörülen artıştan önemli ölçüde daha az olduğu noktaya kadar artırır.
Veya DDoS saldırı hasarını azaltmaya odaklanarak çalışma süresi performansını iyileştirerek kendisini çoğu büyük bulut sağlayıcısından ayırabilen bir bulut sağlayıcının durumuna bakın. Daha da uzakta, daha iyi güvenliğe yatırım yapan bir tarım şirketi güveni artırabilir ve daha fazla ortak getirebilir, böylece kazançlı yeni pazarlara doğru genişleyebilir. Çok çeşitli şirketler, siber güvenliği iyileştirerek genel iş performansını iyileştirmeyi savunabilir.
Vaka Çalışması: Aracılık Siber Sigorta
Geliri açıkça artırmak için güvenlikten yararlanmanın bir başka örneği, kendisini dünyanın en büyük sigorta komisyoncusu olarak faturalandıran 10 milyar dolarlık bir işletme olan Marsh McLennan’dan geliyor.
Siber güvenlik sigortasındaki son zamanlardaki en büyük trendlerden biri, sigorta şirketlerinin, sigortacının katı gereksinimlerini karşılayan bir güvenceye sahip olmaması nedeniyle birçok işletmeyi sigortalamayı reddetmesidir. Bu, potansiyel zararlarını sınırlamakla birlikte, prim geliri kaybı nedeniyle sigorta şirketlerinin gelirlerini de anında tehdit etmektedir.
Marsh, sigorta şirketlerine teslim edebileceği şirket sayısını en üst düzeye çıkarmak ve böylece kendi gelirini sürdürmek için şirketleri değerlendirir. Bir şirketin güvenlik profili yeterli olmadığında, Marsh güvenlik şirketi ortaklarından potansiyel müşterinin güvenlik profilini sigorta şirketinden bir poliçe almaya uygun hale getirmesi için yararlanır. Bu şirket için iyi çünkü sigorta yaptırabiliyor ve daha iyi bir güvenlikten yararlanıyor; sigorta şirketi için iyidir çünkü prim geliri elde eder; ve uygun ve başarılı bir yönlendirme yapan Marsh için iyidir.
Marsh’ta siber olay yönetimi lideri Katherine Keefe, “Müşteri ilişkisine bütünsel bir yaşam döngüsü olarak bakıyoruz. Sigorta yapmak bizim ekmeğimiz ve tereyağımızdır” diyor. “Müşterilerimizin hazırlık konusunda desteğe ihtiyacı var. Nasıl hazırlanır, bir olaya müdahale planı nasıl geliştirilir, masa üstü alıştırmalar. Onlara araçlar ve çözümler sağlıyor ve siber hazırlığı destekliyoruz.”
Savunmadan Büyümeye Geçiş
Magnet Forensic’te küresel bilgi güvenliği yöneticisi Stephen Boyce, kurumsal güvenlik yöneticileri potansiyel müşterilerin önemsediği şeylere odaklandığında ve bu nedenle gelir ve pazar payına yardımcı olduğunda, bunun güvenlik duruşunu iyileştirmenin en etkili tek yolu olabileceğini savunuyor.
Boyce, “Bunun yaptığı şey, CISO ile CFO ve potansiyel olarak C düzeyindeki ekibin geri kalanı arasındaki ilişki dinamiğinde bir değişiklik yaratmaktır” diyor.
Bu gerçekten de ilişki dinamiğini değiştirme potansiyeline sahip, ancak SailPoint CISO Rex Booth, böyle bir değişikliğin ancak kuruluş buna hazırsa gerçekleşebileceğini vurguluyor. Ve ekliyor, çoğu henüz değil.
“Çok uzun bir süredir, güvenlik [focused] Booth, “Ve bu, geleneksel olarak tamamen risk azaltma olarak görülen bir rol olan CISO’nun ilişki dinamiğinde bir değişiklik gerektiriyor.
“Bunun, CISO’larını alacak ve onları yalnızca bir güvenlik rolü değil, aynı zamanda gelir getirici bir rol haline getirecek kadar olgun olan şirketlerin oranında olması gerekiyor. Bazıları bu yöne doğru ilerliyor, ancak çoğu kuruluş orada değil. henüz.”
İşletmeyi Geliştirerek Değer Kanıtlamak
Yine de Booth, burada artılar ve eksiler olduğuna dikkat çekiyor. Böyle bir değişikliğin -ya da en azından çok yavaşlamasının- aleyhindeki argüman, bugün güvenlik departmanlarının bütçelerinin ciddi şekilde yetersiz olması, yani personel sayısının az olması ve işletmeyi gerektiği gibi savunmanın zor olması. Bu, satışları destekleme girişimlerinin dikkatlerini daha da dağıtacağını ve kötü bir durumu potansiyel olarak daha da kötüleştireceğini gösteriyor.
Buna karşılık, düşük bütçeli güvenlik operasyonlarının her zaman düşük bütçeli olması muhtemeldir. Satışlara yardımcı olmak için periyodik hamleler yaparak – belki yılda sadece bir veya iki kez – CFO’ya, COO’ya, CEO’ya ve yönetim kuruluna, kâr hanesine yardımcı olmak için güvenliği kullanma potansiyelini gösterebilir. Ve teoride bu, güvenliğin biraz daha iyi bütçelendirilmesine anlamlı bir şekilde katkıda bulunabilir ve bu da işletmenin savunulmasında büyük bir yardımcı olabilir.
Güvenliğin temel çabalarının değer yatırım getirisi perspektifinden kanıtlanmasının genellikle zor olduğu göz önüne alındığında, bu daha da kritiktir.
Booth, “Güvenlik açısından her şeyi doğru yaparsam, kurula ‘Asla gerçekleşmemiş fidye yazılımı olayları sayesinde size 2 milyon dolar kazandırdım’ dememin hiçbir yolu yok” diyor.
Infoblox’un siber risk ve güvenlik ürünü pazarlama lideri Bob Hansmann, hedefin potansiyel müşterileri müşteriye dönüştürmenin ve pazar payını artırmanın ötesine geçmesi ve müşteriyi elde tutmayı içermesi gerektiğini savunuyor.
Hansmann, “Kuruluş, hizmetlerin yalnızca hazır ve kullanılabilir olduğundan değil, aynı zamanda sorunsuz çalıştıklarından da emin olmalıdır” diyor. “Ve güvenlik, bunu gerçekleştirmek için deneyim, yetenek ve araçlar açısından en iyi konumlandırılmış birimdir.”
